Erstmalige Konfiguration

Nachdem Sie die Appliance in einem Rack installiert haben, können Sie die Erstkonfiguration durchführen. Sobald die Erstkonfiguration abgeschlossen ist, lesen Sie die spezifischen Konfigurationshandbücher für die Funktionen, die Sie verwenden werden.

Die Erstkonfiguration ist für den multifunktionalen Citrix ADC, die dedizierte Citrix Gateway Enterprise Edition und die dedizierten Citrix Web App Firewall-Appliances identisch. Sie können eine der folgenden Schnittstellen für die Erstkonfiguration Ihrer Appliance verwenden:

  • Assistenten zum ersten Mal: Wenn Sie einen Webbrowser verwenden, um eine Verbindung mit der Appliance herzustellen, werden Sie aufgefordert, die Netzwerkkonfigurations- und Lizenzierungsinformationen einzugeben, sofern diese noch nicht angegeben sind.
  • LCD-Tastatur: Sie können die Netzwerkeinstellungen angeben, aber Sie müssen eine andere Schnittstelle verwenden, um Ihre Lizenzen hochzuladen.
  • Serielle Konsole: Nachdem Sie eine Verbindung zur seriellen Konsole hergestellt haben, können Sie über die Citrix ADC-Befehlszeile die Netzwerkeinstellungen angeben und Ihre Lizenzen hochladen.
  • DHCP (Dynamic Host Configuration Protocol) — Wenn Sie eine neue Appliance von einem Remote-Netzwerk aus konfigurieren oder mehrere Citrix ADC-Appliances installieren und diese dann konfigurieren möchten, ohne den Konsolenport zu verwenden, können Sie DHCP verwenden, um jeder neuen Appliance eine IP-Adresse zuzuweisen, unter der Sie auf die -Appliance für die Remote-Konfiguration.

Zur Erstkonfiguration verwenden Sie nsroot sowohl als administrativen Benutzernamen als auch als Kennwort. Verwenden Sie für den nachfolgenden Zugriff das bei der Erstkonfiguration zugewiesene Kennwort.

Nachdem Sie die Erstkonfiguration der Appliance abgeschlossen haben, können Sie den sicheren Zugriff auf Ihre Appliance konfigurieren. Daher werden Sie bei der Anmeldung nicht mehr zur Eingabe eines Kennworts aufgefordert. Dies ist besonders in Umgebungen hilfreich, in denen Sie sonst eine große Anzahl von Passwörtern verfolgen müssten.

Verwenden des ersten Setup-Assistenten

Um eine Citrix ADC-Appliance (oder virtuelle Citrix ADC-Appliance) zum ersten Mal zu konfigurieren, benötigen Sie einen Verwaltungscomputer, der im selben Netzwerk wie die Appliance konfiguriert ist.

Sie müssen eine Citrix ADC-IP-Adresse (NSIP) als Verwaltungs-IP-Adresse Ihrer Citrix ADC-Appliance zuweisen. Dies ist die Adresse, unter der Sie auf den Citrix ADC für Konfiguration, Überwachung und andere Verwaltungsaufgaben zugreifen. Weisen Sie Ihrem Citrix ADC eine Subnetz-IP-Adresse (SNIP) zu, um mit den Backend-Servern zu kommunizieren. Geben Sie einen Hostnamen zur Identifizierung Ihres Citrix ADC, eine IP-Adresse für einen DNS-Server zum Auflösen von Domänennamen und die Zeitzone an, in der sich Ihr Citrix ADC befindet.

Der Assistent wird automatisch angezeigt, wenn eine der folgenden Bedingungen erfüllt ist:

  • Die Appliance ist mit der Standard-IP-Adresse (192.168.100.1) konfiguriert.
  • Eine Subnetz-IP-Adresse ist nicht konfiguriert.
  • Lizenzen sind auf der Appliance nicht vorhanden.

Erstkonfiguration Ihrer Appliance durchführen

  1. Geben Sie in einem Webbrowser Folgendes ein:http://192.168.100.1

    Hinweis: Die Citrix ADC-Software ist mit dieser Standard-IP-Adresse vorkonfiguriert. Wenn Sie bereits als NSIP-Adresse zugewiesen haben, geben Sie diese Adresse in einem Webbrowser ein.

  2. Geben Sie unter Benutzername und Kennwort die Administratoranmeldeinformationen ein. Der folgende Bildschirm wird angezeigt.

    Erstmalig Benutzerbildschirm

  3. Um eine zuvor konfigurierte Einstellung zu konfigurieren oder zu ändern, klicken Sie in jeden Abschnitt. Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Wenn Sie dazu aufgefordert werden, wählen Sie Neustart aus.

Verwenden der LCD-Tastatur

Wenn Sie die Appliance zum ersten Mal installieren, können Sie die Anfangseinstellungen mithilfe der LCD-Tastatur auf der Vorderseite der Appliance konfigurieren. Die Tastatur interagiert mit dem LCD-Anzeigemodul, das sich auch auf der Vorderseite dieser Geräte befindet.

Hinweis: Sie können die LCD-Tastatur für die Erstkonfiguration auf einer neuen Appliance mit der Standardkonfiguration verwenden. Die Konfigurationsdatei (ns.conf) sollte die folgenden Befehls- und Standardwerte enthalten.

set ns config -IPAddress 192.168.100.1 -netmask 255.255.0.0

Die Funktionen der verschiedenen Tasten werden in der folgenden Tabelle erläutert.

Tabelle 1. LCD-Tastenfunktionen

Schlüssel Funktion
< Bewegt den Cursor um eine Ziffer nach links.
> Bewegt den Cursor um eine Ziffer nach rechts.
^ Erhöht die Ziffer unter dem Cursor.
v Dekrementiert die Ziffer unter dem Cursor.
. Verarbeitet die Informationen oder beendet die Konfiguration, wenn keiner der Werte geändert wird. Dieser Schlüssel wird auch als EINGABETASTE bezeichnet.

Um die Erstkonfiguration mithilfe der LCD-Tastatur durchzuführen, drücken Sie die Taste „<“.

Sie werden aufgefordert, die Subnetzmaske, die Citrix ADC-IP-Adresse (NSIP) und das Gateway in dieser Reihenfolge einzugeben. Die Subnetzmaske ist sowohl der NSIP- als auch der Standard-Gateway-IP-Adresse zugeordnet. Der NSIP ist die IPv4-Adresse der Citrix ADC-Appliance. Das Standard-Gateway ist die IPv4-Adresse für den Router, die externen IP-Datenverkehr verarbeiten wird, den der Citrix ADC ansonsten nicht weiterleiten kann. Das NSIP und das Standard-Gateway sollten sich im selben Subnetz befinden.

Wenn Sie einen gültigen Wert für die Subnetzmaske eingeben, z. B. 255.255.255.224, werden Sie aufgefordert, die IP-Adresse einzugeben. Wenn Sie einen gültigen Wert für die IP-Adresse eingeben, werden Sie ebenfalls aufgefordert, die Gateway-Adresse einzugeben. Wenn der eingegebene Wert ungültig ist, wird die folgende Fehlermeldung für drei Sekunden angezeigt, wobeixxx.xxx.xxx.xxx die IP-Adresse, die Sie eingegeben haben, gefolgt von einer Anforderung, den Wert erneut einzugeben.

Invalid addr!
xxx.xxx.xxx.xxx

Wenn Sie die EINGABETASTE (.) drücken, ohne eine der Ziffern zu ändern, interpretiert die Software dies als Benutzerausgangsanforderung. Die folgende Meldung wird für drei Sekunden angezeigt.

Exiting menu...
xxx.xxx.xxx.xxx

Wenn alle eingegebenen Werte gültig sind, wird beim Drücken der EINGABETASTE die folgende Meldung angezeigt.

Values accepted,
Rebooting...

Die Subnetzmasken-, NSIP- und Gatewaywerte werden in der Konfigurationsdatei gespeichert.

Hinweis: Hinweise zum Bereitstellen eines HA-Paares (High Availability) finden Sie unterhttps://docs.citrix.com/en-us/netscaler/12-1/system/high-availability-introduction.html.

Verwenden der seriellen Citrix ADC-Konsole

Wenn Sie die Appliance zum ersten Mal installieren, können Sie die Anfangseinstellungen mithilfe der seriellen Konsole konfigurieren. Mit der seriellen Konsole können Sie die System-IP-Adresse ändern, ein Subnetz oder zugeordnete IP-Adresse erstellen, erweiterte Netzwerkeinstellungen konfigurieren und die Zeitzone ändern.

Hinweis: Informationen zum Auffinden des seriellen Konsolenports Ihrer Appliance finden Sie in der Abbildung der Vorderseite der jeweiligen Appliance.

Konfigurieren der Anfangseinstellungen mithilfe einer seriellen Konsole

  1. Schließen Sie das Konsolenkabel an die Appliance an. Weitere Informationen finden Sie unter „Verbinden des Konsolenkabels“ in “Installation der Hardware.
  2. Führen Sie das Terminal-Emulationsprogramm vt100 Ihrer Wahl auf Ihrem Computer aus, um eine Verbindung mit der Appliance herzustellen, und konfigurieren Sie die folgenden Einstellungen: 9600 Baud, 8 Datenbits, 1 Stoppbit, Parität und Flusssteuerung auf NONE.

  3. Drücken Sie die EINGABETASTE. Auf dem Terminalbildschirm wird die Anmeldeaufforderung angezeigt.

    Hinweis: Je nachdem, welches Terminalprogramm Sie verwenden, müssen Sie möglicherweise zwei oder drei Mal die EINGABETASTE drücken.

  4. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an. Ihr Vertriebsmitarbeiter oder der Citrix Kundenservice kann Ihnen die Administratoranmeldeinformationen zur Verfügung stellen.

  5. Geben Sie an der Eingabeaufforderung ein,config ns um das Citrix ADC-Konfigurationsskript auszuführen.

  6. Folgen Sie den Anweisungen, um die Erstkonfiguration Ihrer Appliance abzuschließen.

    Hinweis: Um zu verhindern, dass ein Angreifer Ihre Fähigkeit verletzt, Pakete an die Appliance zu senden, wählen Sie eine nicht routbare IP-Adresse im LAN Ihrer Organisation als IP-Adresse Ihrer Appliance aus.

    Sie können die Schritte 5 und 6 durch die folgenden Citrix ADC-Befehle ersetzen. Geben Sie an der Citrix ADC-Eingabeaufforderung Folgendes ein:

    set ns config -ipaddress<IPAddress> -netmask<subnetMask>
    add ns ip<IPAddress> <subnetMask> -type<type>
    add route<network> <netmask> <gateway>
    set system user <userName> -password
    save ns config
    reboot
    

Beispiel:

    set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0
    add ns ip 10.102.29.61 255.255.255.0 -type snip
    add route 0.0.0.0 0.0.0.0 10.102.29.1
    set system user nsroot -password
    Enter password: *****
    Confirm password: *****
    save ns config
    reboot

Sie haben nun die Erstkonfiguration Ihrer Appliance abgeschlossen.

Verwenden von DHCP für den ersten Zugriff

Hinweis: Die Begriffe Citrix ADC-Appliance und -Appliance werden austauschbar verwendet.

Bei der Erstkonfiguration einer Citrix ADC-Appliance kann DHCP (Dynamic Host Configuration Protocol) die Abhängigkeit von der Konsole beseitigen, indem eine Subnetz-IP (SNIP) -Adresse bereitgestellt wird, unter der Sie auf die Appliance zugreifen können, um sie remote zu konfigurieren. Sie können DHCP auch nach der Erstkonfiguration verwenden, wenn Sie beispielsweise eine Appliance in ein anderes Subnetz verschieben möchten.

Um DHCP zu verwenden, müssen Sie zuerst die Herstellerklassenkennung der Einheit auf einem DHCP-Server angeben. Optional können Sie auch den Pool von IP-Adressen angeben, von dem Ihre Citrix ADC-Appliance eine IP-Adresse abrufen kann. Wenn kein Pool angegeben wird, wird die Adresse aus dem allgemeinen Pool übernommen.

Eine neue Citrix ADC-Appliance verfügt über keine Konfigurationsdatei. Wenn Sie eine Appliance ohne Konfigurationsdatei mit dem Netzwerk verbinden, fragt der DHCP-Client den DHCP-Server automatisch nach einer IP-Adresse ab. Wenn Sie die Einheiten-Herstellerklassenkennung auf dem DHCP-Server angegeben haben, gibt der Server eine Adresse zurück. Sie können den DHCP-Client auch auf einer zuvor konfigurierten Appliance aktivieren.

Voraussetzungen

Um DHCP zu verwenden, müssen Sie:

  1. Notieren Sie sich die System-ID (sysid) auf dem Seriennummernaufkleber auf der Rückseite der Appliance. Auf einer älteren Appliance ist die System-ID möglicherweise nicht verfügbar. Verwenden Sie in diesem Fall anstelle der System-ID die MAC-Adresse.

  2. Richten Sie einen DHCP-Server ein, und konfigurieren Sie ihn mit der Geräteanbieter-Klassenkennung.

Konfigurieren eines Linux/UNIX-DHCP-Servers für die Citrix ADC-Appliance

  1. Geben Sie „Citrix-NS“ als Herstellerklassenkennung für die Citrix ADC-Appliance an, indem Sie der Datei dhcpd.conf des Servers die folgende Konfiguration hinzufügen. Die Unterklassendeklaration muss sich innerhalb der Subnetzdeklaration befinden.
    option space auto;
     option auto.key code 1 = text;

    class "citrix-1" {
     match option vendor-class-identifier;
    }

    subclass "citrix-1" "citrix-NS"{
    vendor-option-space auto;
    option auto.key "citrix-NS";

Hinweis: Der Speicherort der Datei dhcpd.conf kann in verschiedenen Versionen und Varianten des Linux/UNIX-basierten Betriebssystems unterschiedlich sein (z. B. in FreeBSD 6.3 befindet sich die Datei im Ordner /etc/. Informationen zum Speicherort finden Sie in der Manpage dhcpd des DHCP-Servers.

  1. Wenn Citrix ADC-Appliances keine IP-Adressen aus dem allgemeinen Pool verwenden sollen, geben Sie einen Adresspool für die Appliance an. Sie müssen diese Pooldeklaration in die Subnetzdeklaration einfügen. Wenn Sie beispielsweise die folgende Konfiguration zur Datei dhcpd.conf hinzufügen, wird ein Pool von IP-Adressen zwischen 192.168.2.120 und 192.168.2.127 angegeben.

    pool {
    allow members of "citrix-1";
    range 192.168.2.120 192.168.2.127;
    option subnet-mask 255.255.255.0;
    }
    
  2. Beenden Sie den DHCP-Prozess, und starten Sie ihn neu, um die Änderung an der Konfigurationsdatei wiederzugeben. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    killall dhcpd
    
    dhcpd&
    

Beispiel-DHCP-Konfiguration (dhcpd.conf)

option space auto;
option auto.key code 1 = text;

class "citrix-1" {
      match option vendor-class-identifier;
}

subnet 192.168.2.0 netmask 255.255.255.0 {
option routers10.217.242.1;
option domain-name"jeffbr.local";
option domain-name-servers8.8.8.8;
default-lease-time 21600;
max-lease-time 43200;
subclass "citrix-1" "citrix-NS" {
vendor-option-space auto;
option auto.key "citrix-NS";
}
pool {
allow members of "citrix-1";
range 192.168.2.120 192.168.2.127;
option subnet-mask 255.255.255.0;
}
}
  1. Öffnen Sie den Server-Manager, und stellen Sie sicher, dass der DHCP-Dienst ausgeführt wird.

  2. Öffnen Sie DHCP Manager, klicken Sie auf DHCP, und wählen Sie IPv4aus.

  3. Um die Vendor Class als „.. Citrix-NS“ zu konfigurieren, klicken Sie mit der rechten Maustaste auf IPv4 und wählen Sie Vendor Classes **definieren aus.** Fügen Sie eine neue Klasse hinzu, indem Sie einen Anzeigenamen, eine Beschreibung und „.. Citrix-NS“ als ASCII-Wert angeben. Klicken Sie auf OK.

  4. Erstellen Sie einen Bereich zum Konfigurieren des IP-Bereichs, des Teilnetzes, des DNS-Servers, des WIN-Servers, des Standard-Gateways und des ausgeschlossenen IP-Adressbereichs. Klicken Sie zum Erstellen eines neuen Bereichs in der IPv4-Liste mit der rechten Maustaste auf Bereichsoptionen , und geben Sie einen Namen und eine Beschreibung ein. Klicken Sie auf Weiter.

  5. Geben Sie einen IP-Adressbereich und eine Subnetzmaske an, die der Schnittstelle entspricht, die an den Server gebunden ist. Klicken Sie auf Weiter.

  6. Um eine IP-Adresse auszuschließen, fügen Sie sie unter Add Exclusion and Delay hinzu. Klicken Sie auf Weiter.

  7. Fügen Sie eine Leasingdauer hinzu, und klicken Sie auf Weiter.

  8. Wählen Sie „Ja, ich möchte diese Optionen jetzt konfigurieren“ und klicken Sie auf Weiter.

  9. Geben Sie optional ein Standard-Gateway an, und klicken Sie auf Weiter.

  10. Geben Sie optional einen Domänennamen und einen DNS-Server ein, und klicken Sie auf Weiter.

  11. Stellen Sie optional einen WINS-Server bereit, und klicken Sie auf Weiter.

  12. Aktivieren Sie den Bereich, indem Sie „Ja, ich möchte diesen Bereich jetzt aktivieren“ auswählen und auf Weiterklicken.

  13. Klicken Sie auf Fertig stellen. Sie können den konfigurierten Bereich auf der Registerkarte IPv4 anzeigen.

Implementieren einer anfänglichen Citrix ADC-Konfiguration von einem Remotecomputer

Wenn eine neue Citrix ADC-Appliance (oder eine Appliance ohne Konfigurationsdatei) gestartet wird, fragt sie automatisch den DHCP-Server nach einer IP-Adresse ab und stellt dem DHCP-Server die Sysid zur Verfügung. Der DHCP-Server wählt eine IP-Adresse aus seinem Pool aus und weist sie der Appliance als Subnetz-IP (SNIP) zu. Der DHCP-Server enthält die sysid der Appliance und die IP-Adresse, die er der Appliance zuweist, in der Datei dhcpd.leases des Servers. Um die derzeit Ihrer Appliance zugewiesene IP-Adresse zu finden, suchen Sie in der Datei dhcpd.leases nach dem letzten Eintrag mit der sysid Ihrer Appliance im Feld uid oder client-hostname. Stellen Sie sicher, dass der Bindungsstatus in diesem Eintrag aktiv ist. Wenn der Bindungsstatus nicht aktiv, aber frei ist, ist die IP-Adresse der Appliance noch nicht zugeordnet.

Sie können diese Adresse verwenden, um eine Verbindung mit der Appliance herzustellen und die ursprünglichen Einstellungen remote zu konfigurieren. Sie können beispielsweise die IP-Adresse, die Subnetzmaske und die Gatewayeinstellungen ändern, die vom DHCP-Server abgerufen wurden. Nach Abschluss der Erstkonfiguration können Sie die DHCP-IP-Adresse manuell an den Serverpool zurückgeben. Alternativ wird beim Neustart der Appliance die DHCP-IP-Adresse automatisch wieder in den Server-Pool übertragen.

Sie können die der Appliance zugewiesene SNIP-Adresse über die Citrix ADC-Konsole oder über den DHCP-Server ermitteln.

Suchen der SNIP-Adresse über die Citrix ADC-Konsole

Geben Sie an der Konsolenaufforderung Folgendes ein:

sh dhcpParams
DHCP Client on next reboot is ON
DHCP Client Current State: Active
DHCP Client Default route save: OFF
DHCP acquired IP:192.168.2.127
DHCP acquired Netmask:255.255.255.0
DHCP acquired Gateway:192.168.2.1
Done

Suchen Sie die SNIP-Adresse vom DHCP-Server

Suchen Sie in der Datei dhcpd.leases nach dem letzten Eintrag mit der sysid Ihrer Appliance im Feld uid oder client-hostname.

Beispiel:

Der folgende Eintrag in der Datei dhcpd.leases eines DHCP-Servers überprüft den Bindungsstatus der Appliance, deren sysid 45eae1a8157e89b9314f lautet.

lease 192.168.2.127 {
  starts 3 2013/08/19 00:40:37;
  ends 3 2013/08/19 06:40:37;
  cltt 3 2013/08/19 00:40:37;
  binding state active;
  next binding state free;
  hardware ethernet 00:d0:68:11:f4:d6;
  uid "45eae1a8157e89b9314f";
  client-hostname "45eae1a8157e89b9314f";

Im obigen Beispiel ist der Bindungsstatus ACTIVE und die der Appliance zugewiesene IP-Adresse lautet192.168.2.127.

In der folgenden Tabelle werden DHCP-bezogene CLI-Befehle beschrieben, die Sie möglicherweise beim Konfigurieren einer neuen Citrix ADC-Appliance verwenden möchten.

Tabelle 2. Citrix ADC-CLI-Befehle für die Verwendung von DHCP mit einer neuen Citrix ADC-Appliance

Aufgabe Geben Sie an der Citrix ADC-Eingabeaufforderung Folgendes ein:
So überprüfen Sie die abgerufenen DHCP-Details wie IP-Adresse, Subnetzmaske und Gateway auf der Appliance > sh DHCPParams
So geben Sie die DHCP-IP-Adresse frei und geben sie an den IP-Adresspool auf dem DHCP-Server zurück, wenn die Citrix ADC-Konfiguration abgeschlossen ist > DHCPIP freigeben

Verwenden von DHCP, wenn eine Konfigurationsdatei vorhanden ist

Wenn Sie eine Citrix ADC-Appliance in ein anderes Subnetz verschieben müssen, z. B. von einer Testumgebung in eine Produktionsumgebung, können Sie DHCP verwenden, um auf eine Appliance zuzugreifen, die bereits über eine Konfigurationsdatei verfügt. Aktivieren Sie vor dem Verschieben der Appliance den DHCP-Client, und speichern Sie die Konfiguration. Daher ruft die Appliance beim Neustart automatisch den DHCP-Server nach einer IP-Adresse ab. Wenn Sie den DHCP-Client nicht aktiviert und die Konfiguration gespeichert haben, bevor Sie die Appliance herunterfahren, müssen Sie über die Konsole eine Verbindung zur Appliance herstellen und den DHCP-Client dynamisch auf der Appliance ausführen. Der DHCP-Server stellt dann eine IP-Adresse, ein Gateway und eine Subnetzmaske bereit. Sie können die IP-Adresse verwenden, um auf die Appliance zuzugreifen und die anderen Einstellungen remote zu konfigurieren.

Wenn der DHCP-Client in der Konfigurationsdatei aktiviert ist, sollten Sie ihn deaktivieren und dann die Konfigurationsdatei speichern. Wenn der DHCP-Client aktiviert ist, wird die Appliance den DHCP-Server beim Neustart erneut nach einer IP-Adresse abfragen.

Die Citrix ADC-CLI-Befehle, die mit den einzelnen Tasks verknüpft sind, sind nachfolgend aufgeführt:

  • So führen Sie den DHCP-Client dynamisch aus, um eine IP-Adresse vom DHCP-Server abzurufen

    set dhcpParams dhcpClient on

  • So konfigurieren Sie den DHCP-Client so, dass er beim Neustart der Appliance ausgeführt wird

    set dhcpParams dhcpClient on

    save config

  • So verhindern Sie, dass der DHCP-Client beim Neustart der Appliance ausgeführt wird

    set dhcpParams dhcpClient off

    save config

    Hinweis: Dies ist nur erforderlich, wenn die Einstellung ON gespeichert wurde.

  • So speichern Sie die erfasste DHCP-Route so, dass sie beim Neustart der Appliance verfügbar ist

    > set dhcpParams -dhcpclient on -saveroute on

    > save config

  • So verhindern Sie das Speichern der erfassten DHCP-Route (Standardverhalten) set dhcpParams -dhcpclient on -saveroute off

    save config

    Hinweis: Dies ist nur erforderlich, wenn die Einstellung ON gespeichert wurde.

Zugriff auf eine Citrix ADC-Appliance mit SSH-Schlüsseln und ohne Kennwort

Wenn Sie eine große Anzahl von Citrix ADC-Appliances verwalten, kann das Speichern und Nachschlagen von Kennwörtern für die Anmeldung bei einzelnen Appliances schwerfällig sein. Um nicht zur Eingabe von Kennwörtern aufgefordert zu werden, können Sie auf jeder Appliance einen sicheren Shell-Zugriff mit Public Key-Verschlüsselung einrichten.

Citrix ADC-Funktionen können auch die schlüsselbasierte SSH-Authentifizierung für die interne Kommunikation verwenden, wenn der interne Benutzer deaktiviert ist (mit dem Befehl set ns param -internaluserlogin disabled). In solchen Fällen muss der Schlüsselname als „ns_comm_key“ gesetzt werden.

Um den Zugriff mithilfe von SSH-Schlüsseln einzurichten, müssen Sie das öffentlich-private Schlüsselpaar auf einem Client generieren und den öffentlichen Schlüssel in die Citrix ADC-Remote-Appliance kopieren.

Generieren Sie die Schlüssel und stellen Sie eine Verbindung mit einer Citrix ADC-Remote-Appliance mithilfe von SSH-Schlüsseln her

  1. Ändern Sie auf einem Client (Linux-Client oder Citrix ADC) das Verzeichnis in /root/.ssh.

    cd /root/.ssh

  2. Generieren Sie das öffentlich-private Schlüsselpaar.

    ssh-keygen -t <key_type> -f <optional_key_file_name>

    Beispiel:

    So erstellen Sie einen RSA-Schlüssel mit dem Standarddateinamen.

    ssh-keygen -t rsa

  3. Drücken Sie die EINGABETASTE, wenn Sie zur Eingabe eines Dateinamens für das Schlüsselpaar aufgefordert werden.

    Hinweis:

    • Wenn Sie den Standarddateinamen für das Schlüsselpaar aktualisieren, verwenden Sie den neuen Namen anstelle des Standardnamens im Rest dieser Prozedur.
    • Wenn Sie die interne Benutzeranmeldung deaktivieren möchten, verwenden Sie „ns_comm_key“ als Dateiname für das öffentlich-private Schlüsselpaar.
  4. Drücken Sie zweimal die EINGABETASTE, wenn Sie zur Eingabe einer Passphrase aufgefordert werden.

    Hinweis: Wenn es sich bei dem Client um eine Citrix ADC-Appliance handelt, verschieben Sie die Datei mit dem privaten Schlüssel an einen persistenten Speicherort, z. B. in Unterverzeichnissen der Verzeichnisse /flash und /var.

  5. Melden Sie sich über ein Dateiübertragungsprotokoll an der Citrix ADC-Remote-Appliance vom Client an, und führen Sie die folgenden Schritte aus:

    1. Ändern Sie das Verzeichnis in /nsconfig/ssh. Geben Sie an der Eingabeaufforderung Folgendes ein:

      cd /nsconfig/ssh

    2. Verwenden Sie den binären Übertragungsmodus, um den öffentlichen Schlüssel in dieses Verzeichnis zu kopieren.

      bin put id_rsa.pub

  6. Öffnen Sie eine Verbindung mit der Citrix ADC-Remote-Appliance mithilfe eines SSH-Clients, z. B. PuTTY, und führen Sie die folgenden Schritte aus:

    1. Melden Sie sich mit den Administratoranmeldeinformationen bei der Remote-Appliance an.</span>

    2. Wechseln Sie zur Citrix ADC-Shell.

      shell

    3. Ändern Sie an der Shell-Eingabeaufforderung das Verzeichnis in /nsconfig/ssh.

      root@ns# cd /nsconfig/ssh

    4. Hängen Sie den öffentlichen Schlüssel an die Datei authorized_keys an. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:</span>

      root@ns# cat id_rsa.pub >> authorized_keys

      Hinweis: Wenn die Datei authorized_keys nicht auf der Appliance vorhanden ist, müssen Sie zuerst die Datei erstellen und dann den Inhalt anhängen.

    5. Ändern Sie die Berechtigung der Verzeichnisse /flash, nsconfig und ssh in 755.

      root@ns# chmod 755 /flash root@ns# chmod 755 /flash/nsconfig root@ns# chmod 755 /flash/nsconfig/ssh

    6. Ändern Sie die Berechtigung der Datei authorized_keys in 744.

      root@ns# chmod 744 authorized_keys

    7. Entfernen Sie optional den öffentlichen Schlüssel.

      root@ns# rm id_rsa.pub

  7. Stellen Sie auf dem Client sicher, dass Sie eine Verbindung mit der Citrix ADC-Remote-Appliance mithilfe von SSH herstellen können, ohne das Kennwort einzugeben.

    Wenn Sie den Standarddateinamen für das öffentlich-private Schlüsselpaar verwenden.

    ssh <user_name>@<CitrixADCIPAddress>

    Bei Verwendung von „ns_comm_key“ (wenn interner Benutzer deaktiviert ist) für das öffentlich-private Schlüsselpaar.

    ssh –i /nsconfig/ssh/ns_comm_key <user_name>@<CitrixADCIPAddress>

    Wenn Sie einen anderen Namen für das öffentlich-private Schlüsselpaar verwenden.

    ssh –i <path_to_client_private_key> <user_name>@<CitrixADCIPAddress>

Ändern des Administratorkennworts

Das Standardbenutzerkonto ist das Administratorkonto, das vollständigen Zugriff auf alle Funktionen der Citrix ADC-Appliance ermöglicht. Um die Sicherheit zu wahren, sollte das Administratorkonto daher nur bei Bedarf verwendet werden, und nur Personen, deren Aufgaben vollen Zugriff erfordern, sollten das Kennwort für das Administratorkonto kennen. Der standardmäßige administrative Benutzername und das Kennwort sind nsroot bzw. nsroot. Citrix empfiehlt, das Administratorkennwort häufig zu ändern.

Ändern des Administratorkennworts mithilfe der GUI

  1. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.
  2. Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich System, und klicken Sie dann auf Benutzer.
  3. Klicken Sie im Bereich Benutzer auf das Standardbenutzerkonto (nsroot), und klicken Sie dann auf Kennwort ändern.
  4. Geben Sie im Dialogfeld Kennwort ändern unter Kennwort und Kennwort bestätigen das Kennwort Ihrer Wahl ein.
  5. Klicken Sie auf OK.

Ändern des Administratorkennworts mithilfe der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system user <userName> -password

Beispiel:

set system user nsroot -password Enter password: ***** Confirm password: ***** Done